Navigation

RSS

>>Articolo<<

News | W32.Sober.S@mm alla riscossa...

Categoria: Virus alert
0 Commenti Leggi i commentiSegnala Segnala la pagina Stampa Stampa la pagina
W32.Sober.S@mm alla riscossa... 5 Maggio 2005
Scritto da Marco Profilo autore

Risorse correlate
  1. McAfee
[] link interno     [] link esterno
Torna a far parlare di se, in una nuova variante. È Sober.S, alias:

- W32.Sober.O@mm
- W32/Sober.p@MM
- W32/Sober-N Sober.P
- Email-Worm.Win32.Sober.p

Facendo leva sulla passione calcistica perché camuffato come proveniente dalla FIFA, può trovare facilmente terreno fertile per la sua diffusione. L'ingannevole messaggio? La vincita di biglietti per i mondiali del 2006.

Benché non sia un worm distruttivo, è senza dubbio un fautore di disturbo per la rete, rallentandola per via dell'aumento di traffico che causa diffondendosi.

Come suoi predecessori, il worm giunge via e-mail, e in maniera del tutto autonoma, grazie ad un proprio motore SMTP. Utilizzando l'ormai collaudata tecnica della raccolta d’indirizzi e-mail presenti sul sistema infettato, questi si propaga affidandosi in seguito ad una buona dose di ingenuità di chi lo riceve. Infatti, la sua diffusione è possibile solo nel momento in cui l'utente, esegue il file contenuto nell'allegato .zip.

Se eseguito, genera un falso messaggio di errore tipo:


Alcuni dettagli su come riconoscerlo...

Allegato con estensione:

- account_info.zip
- autoemail-text.zip
- LOL.zip
- Fifa_Info-Text.zip
- mail_info.zip
- okTicket-info.zip
- our_secret.zip
- _PassWort-Info.zip

Testo del messaggio, come proveniente dalla FIFA:

Soggetto: WM-Ticket-Auslosung

Corpo:

Herzlichen Glueckwunsch,

beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.

Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

Ihr "ok2006" Team
St. Rainer Gellhaus

--- FIFA-Pressekontakt:
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

Segnali della presenza del worm:

- c:WINDOWSConnection WizardStatusfastso.ber
- c:WINDOWSsystem32adcmmmmq.hjg
- c:WINDOWSsystem32langeinf.lin
- c:WINDOWSsystem32nonrunso.ber
- c:WINDOWSsystem32seppelmx.smx
- c:WINDOWSsystem32xcvfpokd.tqa

Modifiche al registro:

- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run "_WinStart" = C:WINDOWSConnection WizardStatusservices.exe

- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run " WinStart" = C:WINDOWSConnection WizardStatusservices.exe

Attenzione dunque, a non criminalizzare il legittimo services.exe presente nella directory "Sytem32" o "System", in base alla versione Windows utilizzata.
Visite: 1008 | Stampa: 231
Aggiungi un segnalibro a questa pagina
Commenta

Elenco